شرکت FireEye یکی از بزرگترین نامهای دنیا در عرصه امینت شبکه و فضای سایبری است که با بسیاری از شرکتهای مهم دنیا همکاری دارد و امنیت شبکه آنها را تامین میکند. اما این شرکت اخیرا اعلام کرده است که توسط یک تیم بسیار قدرتمند مورد تهاجم سایبری قرار گرفته است. در نتیجه این حمله، برخی از خطرناکترین ابزارهای امنیتی دنیا به سرقت رفته است.
مدیر عامل FireEye در بیانات خود اظهار داشته است که " با توجه به 25 سال حضور در امنیت سایبری و پاسخگویی به حوادث، به این نتیجه رسیدهام که شاهد حمله یک کشور با بالاترین سطح تهاجمی هستیم. این حمله متفاوت از دهها هزار حملهای است که در طول سالها به آنها پاسخ دادهایم. مهاجمان تواناییهای خود را به طور مشخص برای هدف قرار دادن و حمله به FireEye تقویت کردهاند. آنها در زمینه امنیت بسیار آموزش دیده هستند و حمله را با نظم و تمرکز اجرا میکنند. مهاجمان از روشهایی استفاده کردهاند که ابزارهای امنیتی و ابزارهای forensic را مخفیانه دور می زنند. همچنین مهاجمان از روشهای جدیدی استفاده کردهاند که ما یا شرکای ما در گذشته این روشها را مشاهده نکرده بودیم."
هکرها موفق به سرقت ابزارهای دیجیتال Red Team شدهاند که به منظور شناسایی آسیبپذیری سیستمها در شبکه مشتریان استفاده میشد. با وجود اینکه هیچ یک از ابزارهای به سرقت رفته آسیبپذیری روز صفر را اکسپلویت نمیکنند اما احتمال اینکه هکرها بخواهند از ابزارهای سرقت شده سوء استفاده کنند وجود دارد. بنابراین شرکت Fireeye مجموعهای قوانین Yara، Snort، clamAV، HXIOC را منتشر کرده تا سایرین آمادگی مقابله با حملات احتمالی مبتنی بر ابزارهای سرقت شده Red Team را داشته باشند. توصیه میشود مدیران شبکه این قوانین را در سیستمهای تشخیص نفوذ خود اعمال نمایند، همچنین با توجه به اینکه احتمال بهروزرسانی این قوانین وجود دارد به صورت مداوم این لینک را بررسی نمایند و قوانین به روزشده را اعمال نمایند.
شرکت FireEye مجموعهای از آسیبپذیریها را منتشر کرده است که رفع این آسیبپذیریها میتواند برای مقابله با اثرات جانبی دزدیده شدن ابزارهای این شرکت مفید باشد. لیست آسیبپذیریهای مذکور در جدول 1 بیان شده است. توصیه میشود، مدیران شبکه این لیست را با دقت بررسی نمایند و در صورتی که آسیبپذیری مذکور را رفع نکردهاند، اقدام به رفع آن نمایند.
شرکت FireEye هک شده است و ابزارهای این شرکت اکنون در دست مهاجمان میباشد. بنابراین ضروریست تا مدیران شبکه، سیستمهای خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائه شده توسط این شرکت سیستمهای تشخیص نفوذ خود را قدرتمند سازند و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستمهای خود را بهبود ببخشند.
|
CVE |
محصول |
نوع آسیبپذریری |
امتیاز |
|
Pulse Secure SSL VPNs |
دسترسی به فایل دلخواه پیش از احراز هویت (Pre-auth arbitrary file reading) |
10 |
|
|
Microsoft Active Directory |
ارتقاء مجوز دسترسی )escalation of privileges( |
10 |
|
|
Fortinet Fortigate SSL VPN |
دسترسی به فایل دلخواه |
9.8 |
|
|
Adobe ColdFusion |
اجرای کد از راه دور |
9.8 |
|
|
Microsoft Sharepoint |
اجرای کد از راه دور |
9.8 |
|
|
Windows Remote Desktop Services (RDS) |
اجرای کد از راه دور |
9.8 |
|
|
Atlassian Crowd |
اجرای کد از راه دور |
9.8 |
|
|
Citrix Application Delivery Controller and Citrix Gateway |
اجرای کد از راه دور |
9.8 |
|
|
for ZoHo ManageEngine Desktop Central |
اجرای کد از راه دور |
9.8 |
|
|
Windows |
ارتقاء مجوز دسترسی محلی |
9 |
|
|
Confluence |
اجرای کد از راه دور (احراز هویت شده) |
8.8 |
|
|
Microsoft Exchange |
اجرای کد از راه دور |
8.8 |
|
|
نسخههای قدیمی از Microsoft Windows |
ارتقاء مجوز دسترسی محلی |
7.8 |
|
|
Microsoft Outlook |
اجرای کد از راه دور |
7.8 |
|
|
Microsoft Exchange Server |
ارتقاء مجوز دسترسی محلی |
7.4 |
|
|
ZoHo ManageEngine ServiceDesk Plus |
آپلود فایل دلخواه پیش از احراز هویت )Arbitrary pre-auth file upload(
|
6.5 |